wireshark PING流量分析

最新推荐文章于 2025-03-15 15:29:17 发布
最新推荐文章于 2025-03-15 15:29:17 发布
阅读量1.2k 收藏 16
点赞数 7
分类专栏: 网络 文章标签: wireshark 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_60229657/article/details/142898365
版权

ICMP

相信大家都会用ping命令测试联通性

这里给大家带来ping命令抓取的数据包来了解一下详细的格式

在了解这个数据包之前先来了解一下ICMP的报文格式

在这之前来了解一下进制

一个二进制为一位

八个二进制位一个字节

四个二进制为一个十六进制数

一个字节为两个十六进制数

下面这张表表示了ICMP的通用报文格式

中文版

我们再来看看wireshark是怎么描述的

可以看到,这里有了所开头所对应的type、code等

那么type后面的内容代表了什么意思呢?

其实它的意思为:用于ping操作,以检查特定连接是否可达。

为什么是这个?因为工程师在设计时用类型(type)字段值为0和8的,用于ping操作,以检查特定连接是否可达。

前面为什么会提进制的的知识呢?看下面这张图

这回理解了吧?

这时就会有细心的朋友门发现,不对啊,下面有东西对不上啊!

我只能说当然对不上,因为wireshark内的报文格式根本不是我上面那一张ICMP通用报文格式

下面这张才是

这个是:ICMP Echo Request/Reply消息格式

因为数据包是用ping命令抓取的,而它使用时用的就是这个格式

接下来我们来聊一下这些内容代表的含义

  • 类型(Type):占1字节,标识ICMP报文的类型。目前定义了多种类型,取值范围在1到255之间。根据类型值,ICMP报文可以分为差错报文(1~127)和信息报文(128以上)。
  • 代码(Code):占1字节,标识对应ICMP报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。
  • 校验和(Checksum):占2字节,是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和,以检验报文在传输过程中是否出现了差错。其计算方法与IP报头中的校验和计算方法相同。
  • 标识符(Identifier):占2字节,用于对每一个发送的数据报进行标识。
  • 序列号(Sequencenumber):占2字节,用于对发送的每一个数据报文进行编号

这就是他们的含义

那么知道了这些,你会不会好奇Data字段呢?

其实啊,数据(Data)部分其实和类型(type)代码(code)字段密切相关

数据(Data)部分:数据部分的格式和内容取决于ICMP报文的类型(Type)。对于某些类型的ICMP报文,数据部分可能包含额外的信息,如IP头部和IP头部后面的8个字节(对于差错报文)或时间戳信息(对于时间戳请求与应答报文)等。

这里就是要结合上面的Type:8了,还记得上面说的吗?

这里来介绍详细的一些数字的含义:

  1. 差错报文:用于报告在IP数据报传输过程中发生的错误。常见的差错报文类型包括:

    • 目的不可达:类型字段值为3,代码字段值为0~15,用于细分目的不可达的具体原因。例如,网络不可达、主机不可达、协议不可达等。
    • 时间超时:类型字段值为11,代码字段值为0(TTL超时)或1(分片重组超时)。
    • 参数问题:类型字段值为12,表示IP头部中的字段值出现了问题。

  2. 信息报文:用于提供有关网络通信的信息。常见的信息报文类型包括:

    • 回显请求与应答:类型字段值分别为0和8,用于ping操作,以检查特定连接是否可达。
    • 时间戳请求与应答:类型字段值分别为13和14,用于时间同步操作。
    • 地址掩码请求与应答:类型字段值分别为17和18,用于请求和应答子网掩码信息。

那么到这里介绍就完毕了,其实ICMP的报文格式有很多种,如果有想深入了解的可以自己去查一下资料。

做一道题

接下来我给大家介绍一个CTF的数据包分析题目

这个题目给我干成人机了

因为他的flag藏在了ping包的长度中,这谁能想的到啊

来看数据包

第一件事肯定是看协议分级统计,主要是分析数据包的主要方向所提供的依据

感觉没什么特别的

第二步,看会话,查看发生于一特定端点的 IP 间的所有流量.

第三步,看端点,列出了 Wireshark 发现的所有 endpoints 上的统计信息

以上是一般正常查看数据包的流程

当然这主要是对数据包一个大体的查看

我们主要还是分析ICMP的协议包

依次查看每个数据包,发现除了一些没用的数据和正常的包头没什么特别的

上面说了,答案就在包长度上面,我们来看看

发现没有?非常有规律的数据包

可是它和flag有毛关系啊!其实要转码的

这个时候我们打开kali

写个py脚本

写个py脚本
a=[144,150,139,145,165,91,109,151,122,113,106,119,93,167]
for i in a:
    len=chr(i-42)
    print(len,end='')

在来一道

嘿嘿,眼熟不?就是最开始的数据包,这里面也藏着flag

这个flag藏在ICMP的data中

这个出去包头外,data中除了f就是点号了

再看第二个

这个data中是个l,在依次往下查看,就可以发现是个flag值了

我们用工具把它提取出来

先以纯文本的方式保存

查看一下

然后用这个命令

grep -E '[a-zA-Z0-9{}][.]{15}' ping.txt | awk '{print $NF}' | cut -c 1 | tr -d '\n'

成功

流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据筛选 顶峰相见
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 1万+
通过Wireshark,我们可以捕获和分析网络数据,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据进行分析,帮助我们更快地定位问题所在。除了基本的数据捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
Wireshark流量分析
12-17
用于网络安全流量分析的工具,可以配合burpsuite抓包工具一块使用
wireshark流量分析
weixin_44414845的博客
11-23 1405
wireshark流量分析一、wireshark捕获过滤器二、显示过滤器三、跟踪TCP流四、导出HTTP对象五、统计模块使用六、HTTP状态码七、菜刀通讯特征1.通过POST方式发送攻击者的控制指令2.菜刀流量的简单分析3.通过回显判断菜刀执行的操作八、提数wireshark数据中的文件1.提取zip文件2.提取 doc文件 一、wireshark捕获过滤器 捕获过滤器就是一个表达式,配置与抓包之...
Wireshark抓包(PING命令)
最新发布
2402_82610419的博客
03-15 1169
本文详细介绍了wireshark抓包分析ping命令以及三次握手和四次挥手的全过程。
WiresharkWireshark流量分析
A1_3_9_7的博客
01-12 4100
Wireshark流量分析
wireshark抓包分析ping数据
热门推荐
马小橙的专栏
02-23 3万+
目录 1.抓取数据 2.ping request数据解析 2.1 ICMP 2.2 传输层 2.3 以太帧 2.3 数据链路层 3. ping reply数据解析 1.抓取数据 先用管理员权限打开WireShark应用,并在条件过滤栏输入“icmp”。打开cmd,输入:ping www.baidu.com。 这样我们在命令行中,得到如下的一个显示结果: wi...
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1505
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
WIREshark抓取流量数据TCP三次握手四次挥手建立连接过程分析
m0_59580677的博客
05-29 1332
3. Packet Details Pane(数据详细信息), 在数据列表中选择指定数据,在数据详细信息中会显示数据的所有详细信息内容。Ack = 1 : 表示当前端成功接收的数据位数,虽然服务端没有发送任何有效数据,确认号还是被加1,因为含SYN或FIN标志位(并不会对有效数据的计数产生影响,因为含有SYN或FIN标志位的并不携带有效数据)。2. Packet List Pane(数据列表), 显示捕获到的数据,每个数据含编号,时间戳,源地址,目标地址,协议,长度,以及数据信息。
wireshark进行抓包且对ping分析
mny38450的博客
11-08 1792
1.
WireSharkIP协议分析Ping分析IP协议
11-25
2. **执行Ping命令**:在命令行中输入`ping 目标IP`,同时WireShark会捕获相关的网络流量。 3. **解析IP协议**:在WireShark中,可以查看每个的详细信息,括源和目标IP、协议类型(这里是ICMP)、TTL值等。 4....
Wireshark:入门实验|抓取ping数据
Chiefavefan
06-10 2741
Wireshark入门实验|抓取校园门户网站的ping数据
简单流量分析CTF(wireshark)
wcl20010的博客
05-10 1万+
没做过流量分析的题目,也不怎么了解怎么流量分析,准备系统的理一下思路。。 这有第一个小题目。通过几个题目来了解wireshark的使用以及流量分析吧。。 追踪流量 bugku的杂项题目。 链接:https://pan.baidu.com/s/1OnO7OXIQB8ztl8J2q48jBA 提取码:1111 这是一个pacp文件 是一种常用的数据报存储文件,存储了一段数据。 打开wireshark直接文件拖进去就可以打开了。 然后右键一个数据选择追踪流 点开就得到了fla...
wireshark流量分析实战
qq_43571759的博客
04-10 1万+
wireshark Wireshark(前称Ethereal)是一个网络分析软件。网络分析软件的功能是撷取网络,并尽可能显示出最为详细的网络资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 下面是在网上找的数据资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少...
Wireshark-流量分析
qq_39536716的博客
01-04 1689
拿到这个题目的时候,首先是根据题目的要求,先下载了文件,然后发现文件的后缀名称是pcap格式的,通过百度发现这种文件需要用Wireshark来打开,于是就想到了之前学习过的,下载安装了该软件,然后打开以后是这一个界面 2、根据题目要求,查看http的元素  在搜索区域选择  字符串-HTTP,然后就会如图所示:   这时候就会非常苦恼,因为刚开始并没有发现什么信息,但是当仔细看了一段时...
ping失败wireshark抓包分析
01-13
### 使用Wireshark进行Ping失败的网络故障排查 当遇到ping操作失败的情况时,可以利用Wireshark来捕获并分析ICMP报文,从而定位问题所在。具体来说: 在网络通信过程中,如果目标主机不可达,则会在返回给源主机的信息中携带特定类型的错误消息[^1]。这些信息可以通过Wireshark捕捉到,并进一步解析。 对于未配置网关的情形,通常表现为无法到达远程网络上的节点,此时Wireshark会显示出尝试发送至默认网关却未能成功转发的消息流[^2]。这种情况下,应当检查本地计算机上设置的路由表以及默认网关的状态。 另外一种情况是存在大量的TCP重传现象,这可能意味着路径中的某个环节出现了丢状况。通过对镜像流量的研究可以帮助识别具体的丢位置[^3]。值得注意的是,即使最终接收方确实收到了完整的文件或数据,但在传输过程中的某些阶段仍然可能发生临时性的丢失事件,而这些问题同样可以在Wireshark的日志里找到线索。 最后需要注意的一点是在实际观察到的数据帧内不会看到FCS字段,因为该字段已被移除以便于展示更清晰的内容结构[^4]。 #### ICMP Echo Request/Reply流程说明 为了更好地理解如何使用Wireshark诊断ping命令的结果,下面给出一个简单的Python脚本用于模拟发出ICMP请求的过程(仅作示意用途): ```python import os target_ip = "8.8.8.8" os.system(f"ping {target_ip}") ``` 此代码片段执行了一个针对公共DNS服务器(8.8.8.8)的标准ping测试。之后可启动Wireshark监听相应的接口,过滤条件设为`icmp and host 8.8.8.8`,以此专注于感兴趣的通讯记录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值